Сертификат открытого ключа - это... Что такое Сертификат открытого ключа?

Содержание

Что такое сертификат электронной подписи
Принцип работы
Формальное описание
Как создать квалифицированный сертификат ЭЦП
Структура сертификата
Российские стандарты
Продление сертификата ЭЦП
Перевыпуск сертификата ЭЦП
Как удалить старые сертификаты ЭЦП
Как посмотреть сертификат ЭЦП
Где хранится сертификат ЭЦП в ОС Windows XP
Причины отзыва сертификата ЭЦП
Итоги

Что такое сертификат электронной подписи

В Windows 7, заходим в меню Пуск -Панель управления — Свойство браузера.

В Windows 10, правой кнопкой мыши на меню Пуск — Панель управления.

Также можно открыть Internet Explorer (не Edge в Windows 10) и в меню Сервис выбрать Свойства браузера.

Нажимаем на «Сертификаты».

Выбираем сертификат с которого необходимо экспортировать открытый ключ, нажимаем на «Экспорт».

Откроется окно «Мастер экспорта сертификатов», нажимаем «Далее».

Выбрать «Нет, не экспортировать закрытый ключ».

Выбрать формат файла: «Файлы X.509 (.CER) в кодировке DER».

Нажать обзор, выберите папку куда будет сохранен ключ и придумайте ему название (желательно указывать компанию и год сертификата).

Далее.

Готово.

Запускаем Пуск -{amp}gt; Все программы -{amp}gt; КриптоПро -{amp}gt; КриптоПро CSP

Выбрать вкладку «Сервис», далее «Просмотреть сертификаты в контейнере».

Нажимаем обзор, выбираем необходимый сертификат для экспорт открытого ключа .cer.

Нажимаем Далее.

Свойства.

Переходим во вкладку Состав -{amp}gt; Копировать в файл.

Нажимаем «Далее» в окне «Мастер экспорта сертификатов»,

Далее.

Готово.

Флешку можно использовать как аналог ЭЦП, воспользовавшись РАМ-модулем. В его задачу входит тестирование каждого электронного носителя на соответствие заложенным данным. Блокировка данных или доступ к системе зависит от результатов проверки.

В современной системе ведения дел Заказчики и Поставщики, являющиеся фигурантами участия системы электронных торгов, совершают определенные действия, которые связаны с организационными мероприятиями и самим проведением процедуры торгов, а также участием в них. При этом все действия совершаются в удаленном режиме.

Понятно, что в этом случае обязательно должна быть определенная системы защиты от воздействий злоумышленников и при этом немаловажной составляющей является юридическая составляющая процедуры. Именно для этих целей существует Электронная Цифровая Подпись (ЭЦП). С 1 июля 2013 года ее именуют просто – Электронная подпись.

Следует понимать, что любой подписанный с использованием графических символов документ, и отправленный в электронном виде достаточно легко подделать, что делает по сути обычную подпись совершенно бессмысленной. Именно поэтому был создан ключ цифровой подписи, который представляет собой полный аналог обычной подписи, что мы оставляем на бумаге, но выполнен этот ключ с использованием математических преобразований, что касаются содержимого документа.

Математический алгоритм имеет свои особенности, которые проявляются как при создании электронного ключа, так и при ее проверке. Все это гарантирует невозможность осуществления процедуры подделки ЭЦП сторонними лицами. Такая подпись является неопровержимостью авторства. В настоящих условиях технического прогресса ЭЦП представляет собой надежный и удобный для пользования инструмент.

ЭЦП – это определенная последовательность символов, сформированных методом преобразования определенного документа или информации. Для этого используется специальное программное обеспечение. Такая подпись пересылается вместе с исходным документом, при этом важно понимать, что для каждого документа формируется своя подпись и она является уникальным образцом, ее перенесение на другой документ невозможно.

Подделать такую подпись нельзя, поскольку ее защита обеспечена большим количеством вычислений математического плана, которые используются для ее подбора. В итоге, получив документ с наличием ЭЦП, вы можете быть уверены в том, что авторство принадлежит конкретному человеку и текст документа не был изменен.

Применение электронного ключа в реалиях сегодняшнего дня является законодательно разрешенной и юридически важной процедурой, при которой обмен данными посредством телекоммуникационных каналов связи, например, Интернет, представляет собой защищенную процедуру. Востребованность использования ключа подписи приобретает особую значимость в настоящее время, когда происходит переход системы заказов муниципального и государственного уровней на схемы, связанные с электронным функционированием.

Благодаря тому, что ЭЦП является свидетельством достоверности подписи уполномоченного лица, а также печати организации или компании, нет необходимости предоставлять бумажные варианты отправленных в электронном виде документов. Остались в прошлом времена, когда участвующие в размещении заказа лица, должны были подготовить огромные кипы бумаг, которые были обязательны для участия в открытых аукционах или конкурсах.

При использовании ключа существуют следующие достоинства:

благодаря тому, что все действия участников системы фиксируются по времени, споры разрешаются достаточно легко;
изменить заявку участника не представляется возможным до конца проведения закупки.

Благодаря ЭЦП участники электронных торгов имеют следующие выгоды:

нет необходимости в пересылке документов, что снижает расходы организации;
обеспечивается оперативный доступ к процедуре торгов, заказчики же могут находиться в любой части страны.

Схема проведения торгов такова, что компания, изъявившая желание принять участие в аукционе и допущенная к нему, а также предложившая наименьшую стоимость предмета торгов, таким образом, выигравшая аукцион, принимает на себя обязательства по поставке товара или выполнению услуг. При этом она принимает условия, что заявлены в контракте в соответствии с итогами аукциона.

Компания, которая разместила извещение о проведении аукциона на поставку товара или услуг, ответственна за свои действия и, таким образом, берет на себя определенные обязательства, в том числе о заключении договора с компанией-поставщиком. Поставщик выбирается по стоимости контракта, выигрывает электронные торги тот, кто предлагает наименьшую стоимость контракта.

Основное назначение сертификата ключа проверки электронной подписи — это подтверждение того, что электронная подпись принадлежит какому-то определенному лицу, так называемому владельцу электронной подписи. Практически сертификат — это своего рода паспорт владельца электронной подписи, в котором указаны фамилия, имя, отчество, СНИЛС — если владелец ЭЦП является физлицом. Или наименование, адрес нахождения, ИНН, ОГРН, если владелец подписи — организация.

Сертификат ЭЦП с присвоенным ему уникальным номером предоставляется удостоверяющим центром в электронном виде или на бумажном носителе.

Выделяют квалифицированный и неквалифицированный сертификаты ЭЦП. Их различие в первую очередь состоит в функциональности. К примеру, электронную подпись с неквалифицированным сертификатом могут применить либо физлица — при работе с личным кабинетом налогоплательщика, либо фирмы-поставщики — при участии в электронных торгах.

Электронная подпись с квалифицированным сертификатом имеет более широкий спектр действия: начиная со входа на портал Госуслуг и заканчивая подписанием любых юридически значимых документов, не требующих обязательного бумажного оформления с ручной подписью.

Неквалифицированный сертификат выдается любым удостоверяющим центром на платной основе. Он также может быть сформирован любым опытным IT-специалистом при создании ЭЦП с помощью криптографических программ.

О различии и сходстве неквалифицированной и квалифицированной подписей читайте в нашем материале «Чем отличаются два основных типа электронных подписей».

Читайте также: Закон об ключ эцп

Заявление на выдачу сертификата оформляется в виде приложения к договору на приобретение сертификата ключа ЭЦП. Бланк для заполнения данного заявления у каждого аккредитованного центра свой, но сведения, вносимые в него, одинаковы.

Чтобы наглядно увидеть, как примерно выглядит этот документ и какие сведения понадобятся для его заполнения, мы подготовили для вас образец уже заполненного заявления (см. ниже).

Для того чтобы подпись имела юридическую силу и выступала гарантом сделки, требуется наличие на нее сертификата, который может быть выдан в специальном удостоверяющем центре и служит подтверждением принадлежности ЭЦП владельцу.

Для предотвращения подделки или несанкционированного использования электронной подписи используют особый код (ключ электронной подписи). Различают закрытый и открытый ключи ЭЦП.

Открытый ключ доступен всем участникам сделки и документооборота и позволяет определить его владельца.

Закрытый ключ невозможно определить при помощи открытого, он должен быть известен только владельцу подписи.

В случае сохранности и конфиденциальности закрытого ключа электронная подпись может считаться действительной и иметь юридическую силу. При совершении сделок, заключении договоров или осуществлении обмена документами между сторонами необходим гарант, имеющий доверие сторон и подтверждающий личность участников сделки.

Таким гарантом выступает удостоверяющий центр, уполномоченный на выдачу сертификатов открытого ключа ЭЦП. Удостоверяющим центром может быть юридическое лицо, то есть организация, соответствующая требованиям законодательства о выдаче сертификата ЭЦП.

Сертификат открытого ключа ЭЦП позволяет подтвердить принадлежность подписи ее владельцу.

Например, при оформлении сделки, осуществлении

или других финансовых операций необходимо заключение договора и соглашения между сторонами.

Однако аутентификация сторон может быть затруднена, ввиду уязвимости электронной информации и, в частности, электронной цифровой подписи. Именно по этой причине возникает необходимость подтверждения правомерности сделки третьей стороной.

Принцип работы

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом.

Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы.

Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.

Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.

Наглядное объяснение принципа работы сертификатов открытого ключа на примере установки ПО от стороннего разработчика пользователем в Интернете

Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.

Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как:

сам открытый ключ владельца сертификата,
срок действия,
имя эмитента (центра сертификации),
имя владельца сертификата
и, самой важной части, цифровой подписи.

Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши.

В SSL используется целая цепочка доверия: сертификат подписывается закрытым ключом владельца сертификата, находящегося выше в цепи.[1]

Перед началом использования ЭЦП пользователь должен убедиться, что у него на ПК имеются все необходимые инструменты и средства. К ним относят:

криптопровайдер;
закрытый ключ и сертификат ЭЦП;
настроенное рабочее место.

Криптопровайдером называют специальное программное обеспечение, отвечающее за криптографические алгоритмы. Он необходим для создания, проверки, шифрования и расшифрования ЭЦП. Данные хранятся на зашифрованном флеш-накопителе, к которому и обращается криптопровайдер при выполнении операций.

Настройка рабочего места — один из важнейших процессов в подготовительной работе к использованию ЭЦП. Сюда входит установка сертификата удостоверяющего центра, а также настройка и установка сертификата ключа и кросс-сертификата Минкомсвязи. Также необходимо настроить браузер так, чтобы он позволял осуществить все требуемые операции. Тут подразумевается установка необходимых плагинов и надстроек.

Обычно работа с электронной подписью не вызывает проблем, однако, есть ряд случаев, когда сертификат ключа перестает отвечать на действия пользователя.

Если закрытый ключ не подходит к открытому, то необходимо проверить все закрытые контейнеры на используемом ПК. Проблема может заключаться в том, что выбран не тот порт. Если закрытый контейнер выбран правильно, а ошибка повторяется — нужно обратиться в УЦ для перевыпуска ЭП.

Иногда, при запуске система выдает ошибку: certificate isn’t valid. Для ее устранения переустанавливается ЭЦП по инструкции УЦ. Также, иногда выходит сообщение о том, что нет доверия к сертификату ЭП. В этом случае переустанавливается корневой сертификат.

Часто проблема в работе ЭП связана с истекшим сроком действия КриптоПро. Для продления лицензии нужно связаться с представителями УЦ и получить новый ключ.

Если на ПК не найден ни один действительный сертификат, то нужно переустановить ЭЦП и проверить сроки действия ключей.

КриптоПро может не видеть ЭП из-за отсутствия стабильного подключения к Интернету, а также из-за некорректно установленной программы.

Реже, возникает случай, когда плагин не видит установленного и добавленного сертификата даже после переустановки. Проблема может крыться в списке отзыва сертификатов УЦ. Если пользователь работает с Интернетом через прокси-сервер, то в режиме онлайн ПО не видит в справочнике отзывов установленный сертификат. Для устранения неисправности нужно лишь добавить данный справочник на ПК.

Для работы с электронной подписью с флешки на ПК должны быть установлены специальные средства. К ним относят криптопровайдер и настроенный браузер. Подписание документов проходит с использованием плагинов КриптоПро, которые выпускаются как для MS Office, так и для файлов форматом PDF. Флеш-носитель можно использовать и для хранения ключа электронной подписи.

Удобно это тем, что пользователю не нужно запоминать все данные, а вход в систему происходит автоматически при подключении и проверке флешки. Если есть необходимость в частых поездках и работе с сертификатами ЭЦП вне офиса или дома, то желательно скопировать сертификат ЭП с флешки на ПК. Это убережет от поломки, утери или кражи носителя, и последующего восстановления ЭЦП.

Формальное описание

Пусть имеются две стороны информационного обмена — , — и третья сторона , которой доверяют и . Стороне принадлежит пара (, ), где — открытый ключ, — закрытый (секретный) ключ. Стороне принадлежит пара (, ).

регистрируется у , указывая данные о себе и свой . выдает стороне сертификат , устанавливающий соответствие между и . содержит , сведения о , название стороны , подпись (результат применения хеш-функции к данным сертификата с использованием ) и другую информацию.

посылает стороне свой сертификат , подписанный с помощью . извлекает из ключ и проверяет с его помощью подпись. Корректность ЭЦП подтверждает, что действительно принадлежит .

Затем с помощью широко известного проверяется подпись стороны . Если подпись корректна — значит действительно прошел регистрацию у .

Пусть имеются две стороны информационного обмена — A{displaystyle A}, B{displaystyle B}, желающие обмениваться сообщениями конфиденциально, и третья сторона T{displaystyle T} (играющая роль удостоверяющего центра), которой доверяют A{displaystyle A} и B{displaystyle B}.

Стороне $A$ принадлежит пара ключей ( ${displaystyle KA_{o}}$ , ${displaystyle KA_{s}}$ ), где ${displaystyle KA_{o}}$ — открытый ключ, а ${displaystyle KA_{s}}$ — закрытый (секретный) ключ стороны $A$ .
Стороне $T$ принадлежит пара ключей ( ${displaystyle KT_{o}}$ , ${displaystyle KT_{s}}$ ).

A{displaystyle A} регистрируется у T{displaystyle T} (посылает запрос на подпись), указывая данные о себе и свой KAo{displaystyle KA_{o}}. Сторона T{displaystyle T} посредством определенных механизмов “удостоверяет личность” стороны A{displaystyle A} и выдает стороне A{displaystyle A} сертификат C{displaystyle C}, устанавливающий соответствие между субъектом A{displaystyle A} и ключом KAo{displaystyle KA_{o}}. Сертификат C{displaystyle C} содержит:

ключ ${displaystyle KA_{o}}$ ,
идентификационные данные субъекта $A$ ,
идентификационные данные удостоверяющей стороны $T$ ,
подпись стороны $T$ , которую обозначим $ST$ . Подпись $ST$ — это хеш (набор символов, хеш-сумма/хеш-код), полученный в результате применения хеш-функции к данным сертификата $C$ , зашифрованный стороной $T$ с использованием своего закрытого ключа ${displaystyle KT_{s}}$ .
и другую информацию.

A{displaystyle A} посылает стороне B{displaystyle B} свой сертификат C{displaystyle C}. B{displaystyle B} проверяет цифровую подпись ST{displaystyle ST}. Для этого B{displaystyle B}

самостоятельно вычисляет хеш от данных сертификата $C$ ,
расшифровывает ЭЦП сертификата $ST$ с помощью всем известного ${displaystyle KT_{o}}$ , получив другой хеш,
проверяет равенство этих двух хешей.

Если полученные хеши равны – ЭЦП корректна, а это подтверждает, что KAo{displaystyle KA_{o}} действительно принадлежит A{displaystyle A}.

Теперь B{displaystyle B}, зная открытый ключ A{displaystyle A} и зная, что он принадлежит именно A{displaystyle A}, может шифровать этим открытым ключом все последующие сообщения для A{displaystyle A}. И только A{displaystyle A} сможет их расшифровать, так как KAs{displaystyle KA_{s}} известен только A{displaystyle A}.

Как создать квалифицированный сертификат ЭЦП

Самостоятельно создать ЭЦП с квалифицированным сертификатом не получится. Квалифицированный сертификат выдается только аккредитованными удостоверяющими центрами. Поэтому для его получения придется обратиться в один из таких центров с заявлением на выдачу сертификата.

Подробнее узнать о назначении квалифицированной подписи и порядке ее получения вы можете в нашей статье «Усиленная квалифицированная электронная подпись – что это такое?».

Структура сертификата

	Украина	Россия
уникальный регистрационный номер сертификата
дата и время начала и окончания срока действия сертификата
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца
открытый ключ
наименование и реквизиты ЦС
наименование криптографического алгоритма
информацию об ограничении использования подписи
указание на страну выпуска сертификата		–

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.

	Украина	Россия
уникальный регистрационный номер сертификата
даты и время начала и окончания срока действия сертификата
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца
открытый ключ
наименование и реквизиты ЦС
наименование криптографического алгоритма
информацию об ограничении использования подписи
указание на страну выпуска сертификата		–

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.

Российские стандарты

В России действуют свои криптографические стандарты. Использование их совместно с сертификатами описано в RFC4491: Using GOST with PKIX.

Продление сертификата ЭЦП

Срок сертификатов ЭЦП, выдаваемых удостоверяющими центрами, ограничен и составляет 12 месяцев (год) независимо от того, квалифицированный сертификат или неквалифицированный. Некоторые крупные аккредитованные центры могут оформить сертификат на 15 месяцев. Но не более. Как только установленный срок сертификата истечет, электронная подпись станет недействительной.

Если планируется применять электронную подпись после окончания установленного срока сертификата, то необходимо подать заявление на продление срока его действия в удостоверяющий центр, выдавший этот сертификат, оформить допсоглашение и оплатить выставленный центром счет.

Перевыпуск сертификата ЭЦП

Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата. В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе.

В случае перевыпуска сертификата ЭЦП просто обновить его не получится — придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» — «Настройки» — «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…».

Как удалить старые сертификаты ЭЦП

Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» — «Программы» — «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.

Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.

Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства». В новом окошке переставить точечку на «Разрешить только следующие назначения» и убрать галочку «Проверка подлинности клиента». Таким образом старый сертификат сохранится, но и мешать при использовании действующих сертификатов уже не будет.

Как посмотреть сертификат ЭЦП

Для входа в личный кабинет налогоплательщика ЮЛ, настройки обмена юридически значимыми документами с банками и другими контрагентами понадобится уникальный номер сертификата ЭЦП. Для того чтобы посмотреть этот номер, нужно произвести несколько несложных действий, наглядно показанных на рисунке ниже.

Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.

Где хранится сертификат ЭЦП в ОС Windows XP

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Documents and Settings{amp}lt;имя_пользователя{amp}gt;ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings{amp}lt;имя_пользователя{amp}gt; Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена. В этом случае на ПК они загружаются только на время работы профиля.

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории: /opt/cprocsp/bin/{amp}lt;архитектура{amp}gt;.

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr.

Нужно ли владельцу электронной подписи хранить сертификаты ЭЦП после истечения срока их действия? Да, желательно сохранить их у себя в электронном или бумажном виде, так как они могут пригодиться в любой момент для подтверждения юридической значимости ранее подписанных с помощью них документов. При определении срока хранения сертификата ЭЦП можно ориентироваться на установленные законодательством сроки хранения документов в бумажном виде. Ознакомиться с ними вы можете в нашей статье «Основные сроки хранения документов в организации (архив)».

Но еще раз напомним, что это лишь рекомендация для владельцев ЭЦП. Обязанность хранить сертификаты законодательно закреплена за выдавшими их аккредитованными удостоверяющими центрами (п. 1 ст. 15 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ). Период хранения выданных сертификатов ограничен только сроком деятельности аккредитованного центра.

В будущем планируется перевести хранение всех выданных сертификатов под контроль единой государственной базы, чтобы минимизировать риск их утери в случае прекращения деятельности аккредитованных центров. Но пока такой системы хранения нет, поэтому негласно ответственность за сохранность сертификата полностью лежит на его владельце.

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

Личное;
Корневые доверительные и промежуточные сертификаты;
Пользовательские объекты AD;
Сертификаты, к которым не установлено доверие;
Доверенные лица и издатели и т.п.

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

PKCS # 12 (.PFX, .P12);
Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7;
Хранилище сериализованных сертификатов.

Причины отзыва сертификата ЭЦП

Помимо аннулирования сертификата ЭЦП в связи с окончанием срока его действия и его отзыва владельцем электронной подписи есть еще несколько причин, по которым сертификат может стать недействительным (п. 6, п. 6.1 ст. 14 закона № 63-ФЗ):

ликвидация аккредитованного центра в случае, если его функции не были переданы другим удостоверяющим центрам;
владелец сертификата владеет ключом ЭЦП, не соответствующим ключу ЭЦП, зарегистрированному в выданном сертификате;
оформленная сертификатом электронная подпись уже используется под другим сертификатом;
вынесено судебное решение о недостоверности информации, внесенной в сертификат ЭЦП;
иные случаи, установленные законодательством или соглашением между аккредитованным центром и владельцем сертификата.

Итоги

ЭЦП формируется с помощью закрытого ключа, проверяется на достоверность — с помощью открытого. Получение ключа электронной подписи возможно посредством обращения в специализированный удостоверяющий центр.

Таким образом, сертификат является неотъемлемой частью ключа электронной подписи, подтверждает подлинность и достоверность этого ключа, выступает в качестве его юридически значимого документального сопровождения. При отсутствии сертификата ключ ЭЦП будет считаться недействительным.